งานวิจัยใหม่แสดงความเป็นไปได้ในการติดตามผู้ใช้จาก Battery Status API

by lew
5 August 2015 - 01:37

การเข้าเว็บด้วยโหมดส่วนตัวอย่าง Private Browsing หรือ Incognito อาจจะทำให้เว็บไม่สามารถจดจำเราได้ง่ายๆ แต่กระบวนการระบุตัวตนผู้ใช้ก็มีแนวทางใหม่ๆ เพิ่มขึ้นมาเรื่อยๆ ล่าสุดนักวิจัยเสนอแนวทางการใช้ความจุแบตเตอรี่ในเครื่องเป็นข้อมูลระบุตัวตนผู้ใช้

แนวทางนี้อาศัย Battery Status API ที่ยังเป็นร่างของ W3C อยู่ โดยเบราว์เซอร์ที่รองรับในตอนนี้ได้แก่ โครม, ไฟร์ฟอกซ์, และโอเปร่า ล้วนเปิดให้เว็บเข้าใช้ API ได้โดยไม่ต้องแจ้งผู้ใช้ล่วงหน้า ทำให้ผู้ใช้เว็บไม่รู้ตัวว่ากำลังถูกร้องขอระดับพลังงานอยู่

ทีมวิจัยทดสอบกับอุปกรณ์ที่แล็บและพบว่า ค่าระยะเวลาคายประจุ (dischargingTime) อยู่ระหว่าง 355 ถึง 40277 วินาที ทำให้ได้ค่าที่ต่างกันเกือบสี่หมื่นค่า และยังมีค่าระดับพลังงานเป็นเปอร์เซ็นต์ เมื่อใช้สองค่านี้ร่วมกันก็อาจจะระบุตนตัวของผู้ใช้ได้ในช่วงเวลาสั้นๆ

กระบวนการระบุตัวตนผู้ใช้ในระยะยาวคือการหาค่าความจุของแบตเตอรี่ที่จะคงอยู่กับเครื่องของผู้ใช้เป็นเวลานาน เมื่อเว็บอ่านค่าระดับพลังงานหลายๆ ครั้งก็จะสามารถคำนวณหาค่าความจุแบตเตอรี่ได้และค่านี้จะไม่เปลี่ยนแปลงบ่อยนัก ทำให้เว็บสามารถติดตามเครื่องที่เข้าดูเว็บได้อย่างแม่นยำแม้จะใช้โหมดส่วนตัวแล้วก็ตาม

ทีมวิจัยเสนอให้เบราว์เซอร์เลิกส่งค่าระดับพลังงานที่มีความแม่นยำสูง แต่ให้ส่งเป็นค่าหยาบๆ ให้เว็บแทนซึ่งทางไฟร์ฟอกซ์นำไปใช้งานแล้ว และยังเสนอว่าผู้ผลิตเบราว์เซอร์อาจจะต้องเปลี่ยนนโยบายให้เว็บต้องขอสิทธิอ่านค่าแบตเตอรี่เช่นเดียวกับสิทธิอื่นๆ เช่น ไมโครโฟนหรือพิกัดผู้ใช้

งานวิจัย "The leaking battery A privacy analysis of the HTML5 Battery Status API" โดย Lukasz Olejnik, Gunes Acar, Claude Castelluccia, และ Claudia Diaz ตีพิมพ์ลงใน Cryptology ePrint Archive

ที่มา - The Guardian

Blognone Jobs Premium